VACLs: Filtrando tráfico a nivel 2

Alguna vez, resolviendo algún problema de conectividad en una red, en la que pasa lo típico de que un servidor no puede llegar a un sitio, pero si puede llegar a otro, aparece la típica persona de sistemas muy ajena al mundo de las redes y dice, "La culpa es del firewall, nos estais capando", entonces es cuando me toca decir la típica cosa que no es 100% cierta, pero que permite seguir resolviendo la incidencia sin buscar fantasmas.

¿Cual es esa mentijilla piadosa? 
Que los firewalls filtran tráfico entre equipos de diferentes vlanes, que no es posible filtrar tráfico de equipos en la misma VLAN. Es una mentirijilla porque existen firewalls transparentes, y porque si se puede filtrar a nivel de VLAN con VACL, pero me ha tocado decir esa mentirijilla varias veces en entornos que no usaban VACL, ni Firewalls en modo bridge.

¿Que es una VACL?
VACL simplemente es una ACL a nivel de vlan, permite filtrar el tráfico que pasa por una VLAN a nivel 2.

¿Que equipos permiten usar VACL?
Switches y routers basados en Asics, osea en switches y routers nuevecillos, por tanto lo de intentar probarlo en GNS3 va a ser que no.  :(

¿Como se configuran?
Primero se configura una ACL para seleccionar el trafico que queremos seleccionar, al estilo de un route-map.

ip access-list extended NO_NETBIOS
permit ip any any eq 139

Luego configuramos el vlan access-map.

vlan access-map filtro_NETBIOS_VLAN_100 10 

match ip address NO_NETBIOS <----seleccionamos el netbios y lo filtramos

 action drop

 vlan access-map filtro_NETBIOS_VLAN_100 20

  action forward<----el resto de tráfico sigue pasando sin problema

Y por último asignamos el filtro a las vlans que nos apetezca.

vlan filter filtro_NETBIOS_VLAN_100 vlan-list 100

Para los que sean un poco curiosos, se pueden hacer mas cosas con VACL, como por ejemplo denegar tráficos en base a la MAC, o incluso interferir en spanning tree filtrando BPDUs...etc, cuidado con esto último o podeis crear una tormenta de broadcast. :D